cybersecurity AWAREness in VET
cybersecurity AWAREness in VET
Επιστροφή στο Διαδικτυακό Μάθημα

Βάση Γνώσεων AWARE

0% Ολοκληρωμένο
0/0 Steps
  1. Ενότητα 1: Σύντομη ιστορική αναδρομή της κυβερνοασφάλειας και του Ηθικού χάκινγκ (Ethical hacking)
    4 Θεματικές Ενότητες
    |
    1 Κουΐζ
  2. Ενότητα 2: Ψηφιακός μετασχηματισμός και κυβερνοασφάλεια
    4 Θεματικές Ενότητες
    |
    1 Κουΐζ
  3. Ενότητα 3: Απειλές στον κόσμο του κυβερνοχώρου
    4 Θεματικές Ενότητες
    |
    1 Κουΐζ
  4. Ενότητα 4: Ψηφιακή κουλτούρα και εξοικείωση με την ψηφιακή τεχνογνωσία.
    4 Θεματικές Ενότητες
    |
    1 Κουΐζ
ΠΡΟΟΔΟΣ ΕΝΟΤΗΤΑΣ
0% Ολοκληρωμένο

Τύποι Κυβερνοασφάλειας

1. Ασφάλεια Υποδομών Ζωτικής Σημασίας

Η ασφάλεια υποδομών ζωτικής σημασίας αφορά την προστασία συστημάτων, δικτύων και περιουσιακών στοιχείων των οποίων η συνεχής λειτουργία κρίνεται απαραίτητη για την εξασφάλιση της ασφάλειας ενός κράτους, της οικονομίας του και της δημόσιας υγείας ή/και ασφάλειας.

Με τις συνεχιζόμενες τάσεις, όπως η δικτύωση μεταξύ μηχανών (M2M) και το Διαδίκτυο των Πραγμάτων (IoT), οι συσκευές σε βιομηχανικά περιβάλλοντα συνδέονται όλο και περισσότερο στο Διαδίκτυο και είναι ικανές να ανταλλάσσουν δεδομένα. Παρά τη σημασία αυτών των συστημάτων, η ασφάλεια είναι συχνά αδιάφορη για όσους δεν ασχολούνται με την πληροφορική.

Η ασφάλεια των υποδομών ζωτικής σημασίας χωρίζεται σε τρεις τύπους:

  • Έλεγχος πρόσβασης: Η παρεμπόδιση της πρόσβασης μη εξουσιοδοτημένων χρηστών και συσκευών στο δίκτυο,
  • Ασφάλεια εφαρμογών: Μέτρα ασφαλείας που τοποθετούνται στο υλικό και το λογισμικό για το κλείδωμα πιθανών τρωτών σημείων,
  • Τείχη προστασίας: Συσκευές φύλαξης πυλών που μπορούν να επιτρέψουν ή να εμποδίσουν την είσοδο ή την έξοδο συγκεκριμένης κυκλοφορίας από το δίκτυο.

2. Ασφάλεια εφαρμογών

Αν και η ασφάλεια των εφαρμογών αποτελεί βασική εστίαση για τους προγραμματιστές, αυτό το είδος κυβερνοασφάλειας υπερβαίνει τη διαδικασία ανάπτυξης και σχεδιασμού. Ακόμη και αν αναπτύσσετε μόνο έτοιμο λογισμικό και εφαρμογές, πρέπει να διασφαλίζετε συνεχώς ότι παραμένουν ασφαλείς καθ’ όλη τη διάρκεια του κύκλου ζωής τους.

Τα τρωτά σημεία αποτελούν έναν από τους σημαντικότερους κινδύνους, επειδή οι κυβερνοεπιθέσεις τα χρησιμοποιούν για να αποκτήσουν πρόσβαση στο περιβάλλον σας. Υπάρχουν πολυάριθμα παραδείγματα παραβιάσεων που έδειξαν την πιθανή καταστροφή που προκαλούν οι παραβάτες. Για παράδειγμα, η εκτιμώμενη συνολική ζημία από την εκστρατεία λύτρων WannaCry -που εκμεταλλεύτηκε μια αδυναμία στο λειτουργικό σύστημα Microsoft Windows- ανήλθε σε δισεκατομμύρια δολάρια.

Εκτός από τα τρωτά σημεία, άλλες προκλήσεις στην ασφάλεια εφαρμογών περιλαμβάνουν:

  • SQL και άλλες ενέσεις κώδικα – πρόκειται για έναν τύπο επίθεσης όπου ένας επιτιθέμενος εισάγει κακόβουλο κώδικα (όπως εντολές SQL ή JavaScript) σε μια εφαρμογή ιστού ή μια βάση δεδομένων, με στόχο την παραβίαση του συστήματος ή την κλοπή ευαίσθητων δεδομένων. Οι εγχύσεις κώδικα μπορούν να χρησιμοποιηθούν για την εκμετάλλευση τρωτών σημείων του συστήματος, όπως σφάλματα επικύρωσης εισόδου ή ανεπαρκώς καθαρισμένες εισόδους χρηστών.
  • Επιθέσεις DDoS – DDoS σημαίνει Distributed Denial of Service (κατανεμημένη άρνηση υπηρεσίας) και αναφέρεται σε μια επίθεση όπου πολλαπλά συστήματα (συχνά παραβιασμένοι υπολογιστές ή διακομιστές) χρησιμοποιούνται για να κατακλύσουν έναν ιστότοπο ή ένα δίκτυο-στόχο με κίνηση, καθιστώντας το μη διαθέσιμο στους νόμιμους χρήστες. Οι επιθέσεις DDoS είναι δύσκολο να αντιμετωπιστούν, καθώς μπορεί να περιλαμβάνουν τεράστιες ποσότητες κυκλοφορίας και να προέρχονται από διάφορες πηγές.
  • Αδυναμία ελέγχων πρόσβασης – πρόκειται για μια κατάσταση όπου ένα σύστημα ή μια εφαρμογή δεν περιορίζει επαρκώς την πρόσβαση σε ευαίσθητα δεδομένα ή λειτουργίες, επιτρέποντας σε μη εξουσιοδοτημένους χρήστες να βλέπουν, να τροποποιούν ή να διαγράφουν πληροφορίες. Αυτό μπορεί να συμβεί εξαιτίας μιας σειράς παραγόντων, όπως ανεπαρκείς πολιτικές κωδικών πρόσβασης, ανεπαρκή μέτρα ελέγχου ταυτότητας ή ανεπαρκή διαχείριση προνομίων.
  • Έλλειψη κρυπτογράφησης – η κρυπτογράφηση αναφέρεται στη διαδικασία κωδικοποίησης πληροφοριών με τρόπο που τις καθιστά μη αναγνώσιμες σε οποιονδήποτε χωρίς το σωστό κλειδί αποκρυπτογράφησης. Εάν τα δεδομένα δεν είναι κρυπτογραφημένα, μπορεί να είναι ευάλωτα σε υποκλοπή και κλοπή από επιτιθέμενους που έχουν πρόσβαση στο δίκτυο ή το σύστημα όπου αποθηκεύονται ή μεταδίδονται τα δεδομένα.
  • Λανθασμένες ρυθμίσεις – πρόκειται για λάθη ή παραλείψεις στη διαμόρφωση του λογισμικού, των συστημάτων ή των δικτύων, που μπορεί να τα καταστήσουν ευάλωτα σε επιθέσεις. Οι λανθασμένες διαμορφώσεις μπορεί να προκύψουν για διάφορους λόγους, όπως είναι το ανθρώπινο λάθος, η έλλειψη κατανόησης των βέλτιστων πρακτικών ασφάλειας ή η κακή επικοινωνία μεταξύ διαφορετικών ομάδων ή τμημάτων. Παραδείγματα λανθασμένων ρυθμίσεων περιλαμβάνουν την παραμονή προεπιλεγμένων κωδικών πρόσβασης, την παράλειψη επιδιόρθωσης γνωστών ευπαθειών ή τη λανθασμένη ρύθμιση τειχών προστασίας ή άλλων ελέγχων ασφαλείας.

3. Ασφάλεια δικτύου

Η ασφάλεια δικτύου είναι ένας ευρύς όρος που περιλαμβάνει τις δραστηριότητες και τους ελέγχους που αποσκοπούν στην προστασία της ακεραιότητας της δικτυακής σας υποδομής – υπερασπίζοντας το δίκτυο και τα δεδομένα από απειλές, μη εξουσιοδοτημένη πρόσβαση, εισβολές, παραβιάσεις, κακή χρήση κ.λπ. Οι έλεγχοι έχουν τρεις μορφές:

  • Φυσικοί, οι οποίοι αποτρέπουν τη μη εξουσιοδοτημένη φυσική πρόσβαση στην υποδομή του δικτύου, συμπεριλαμβανομένων των κέντρων δεδομένων, των δρομολογητών και των διακομιστών,
  • Τεχνικοί, οι οποίοι προστατεύουν τα δεδομένα εντός του δικτύου, είτε αποθηκεύονται είτε διακινούνται,
  • Διοικητικοί, οι οποίοι περιλαμβάνουν τις διαδικασίες και τις πολιτικές ασφαλείας που ελέγχουν την πρόσβαση στο δίκτυο.

4. Ασφάλεια Cloud

Η ασφάλεια Νέφους (Cloud) αναφέρεται στην τεχνολογία, τις πολιτικές και τις διαδικασίες που χρησιμοποιούνται για τον μετριασμό των κινδύνων ασφαλείας του υπολογιστικού νέφους, είτε χρησιμοποιείται δημόσιο, ιδιωτικό ή υβριδικό νέφος. Μοναδικές προκλήσεις ακολουθούν αυτόν τον τύπο κυβερνοασφάλειας, όπως

  • Ορατότητα: Η εσωτερική ομάδα πληροφορικής ή ασφάλειας έχει λιγότερη ορατότητα στα αποθηκευμένα δεδομένα. Αυτό οφείλεται στο γεγονός ότι η πρόσβαση στις υπηρεσίες γίνεται εκτός δικτύου και η διαχείρισή τους γίνεται από τρίτο πάροχο.
  • Multicloud: Η χρήση περιβαλλόντων multi-cloud είναι κάτι που κάνουν οι περισσότεροι οργανισμοί/ εταιρείες/ δημόσιοι και ιδιωτικοί φορείς. Μια τάση που θα συνεχίσει να αυξάνεται.
  • Συμμόρφωση: Η στήριξη σε έναν εξωτερικό πάροχο όταν χρησιμοποιείτε το δημόσιο cloud προσθέτει ένα ακόμη επίπεδο στη διαδικασία διαχείρισης της κανονιστικής συμμόρφωσης.

5. Ασφάλεια του Διαδικτύου των Πραγμάτων (IoT)

Η διασφάλιση των συσκευών του Διαδικτύου και των δικτύων στα οποία συνδέονται, από απειλές και παραβιάσεις είναι η πράξη του Securing in IoT. Η προστασία, ο εντοπισμός και η παρακολούθηση των κινδύνων, ενώ παράλληλα συμβάλλει στη διόρθωση των τρωτών σημείων από διάφορες συσκευές που μπορούν να θέσουν κινδύνους ασφαλείας για την επιχείρησή σας.

Τύποι Ηθικού Χάκινγκ

Οι χάκερς μπορούν να ταξινομηθούν σε λευκούς, μαύρους και γκρίζους με βάση την πρόθεσή τους να χακάρουν ένα σύστημα. Αυτοί οι διαφορετικοί όροι προέρχονται από ένα παλιό σπαγγέτι γουέστερν, όπου ο κακός φοράει μαύρο καουμπόικο καπέλο και ο καλός λευκό καπέλο.

Οι χάκερ με λευκό καπέλο (white hat hackers) είναι ηθικοί χάκερς που εισβάλλουν σε συστήματα για να αποτρέψουν κυβερνοεπιθέσεις. Οι  χάκερ με μαύρο καπέλο (black hats) διεισδύουν σε ένα σύστημα ή τοποθετούν κακόβουλο λογισμικό για να εκμεταλλευτούν τα τρωτά σημεία για προσωπικό όφελος.

Χάκερς με Λευκό καπέλο (White hat Hackers)

Το ηθικό χάκινγκ,  γνωστό και ως “white hat” hacking, αναφέρεται στην πρακτική του εντοπισμού τρωτών σημείων σε συστήματα και δίκτυα υπολογιστών με την άδεια και τη γνώση του ιδιοκτήτη του συστήματος, με σκοπό τη βελτίωση της ασφάλειας. Οι ηθικοί χάκερς χρησιμοποιούν τις ίδιες τεχνικές και εργαλεία με τους κακόβουλους χάκερς, αλλά ο στόχος τους είναι να εντοπίσουν και να αναφέρουν τα τρωτά σημεία στον ιδιοκτήτη του συστήματος, ώστε να διορθωθούν πριν αξιοποιηθούν από τους επιτιθέμενους.

Οι Χάκερς με Λευκό Καπέλο (White Hat hackers) είναι επίσης γνωστοί ως Ηθικοί Χάκερς (Ethical Hackers). Δεν έχουν ποτέ την πρόθεση να βλάψουν ένα σύστημα. Αντίθετα, προσπαθούν να βρουν αδυναμίες σε έναν υπολογιστή ή ένα σύστημα δικτύου στο πλαίσιο των δοκιμών διείσδυσης και των αξιολογήσεων ευπάθειας.

Το ηθικό χάκινγκ δεν είναι παράνομο και αποτελεί μια από τις πιο απαιτητικές θέσεις εργασίας στον κλάδο της πληροφορικής. Πολυάριθμες εταιρείες προσλαμβάνουν ηθικούς χάκερ για δοκιμές διείσδυσης και αξιολογήσεις ευπάθειας.

Χάκερς με Μαύρο Καπέλο (Black hat Hackers)

Οι χάκερς με το μαύρο καπέλο (black hat hackers), γνωστοί και ως crackers (αντιγραφείς), χακάρουν για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε ένα σύστημα και να βλάψουν τις λειτουργίες του ή να κλέψουν ευαίσθητες πληροφορίες.

Το χάκινγκ μαύρου καπέλου (black hat hacking) είναι πάντα παράνομο λόγω της πρόθεσής του, όπως η κλοπή εταιρικών δεδομένων, η παραβίαση της ιδιωτικής ζωής, η πρόκληση ζημιάς στο σύστημα και η παρεμπόδιση της επικοινωνίας στο δίκτυο.

Χάκερς με Γκρίζο καπέλο (Grey hat Hackers)

Οι Χάκερς με Γκρίζο καπέλο (Grey hat Hackers) είναι ένα μείγμα τόσο των χάκερς με μαύρο όσο και των χάκερς με λευκό καπέλο. Ενεργούν χωρίς κακόβουλη πρόθεση, αλλά για διασκέδαση, εκμεταλλεύονται μια αδυναμία ασφαλείας σε ένα σύστημα υπολογιστή ή δίκτυο, χωρίς την άδεια ή τη γνώση του ιδιοκτήτη.

Σκοπεύουν να τραβήξουν την προσοχή των ιδιοκτητών στο αδύναμο σημείο και να πάρουν εκτίμηση ή μια μικρή αμοιβή από τους ιδιοκτήτες.

Χάκερς Κόκκινης Ομάδας (Red Team Hackers)

Οι Χάκερς της Κόκκινης ομάδας (Red Team Hackers) προσλαμβάνονται από οργανισμούς για να προσομοιώσουν πραγματικές επιθέσεις στα συστήματα, τα δίκτυα και τις εφαρμογές τους. Δοκιμάζουν τις άμυνες του οργανισμού και βοηθούν στον εντοπισμό των αδυναμιών που πρέπει να αντιμετωπιστούν.

Χάκερς Μπλε Ομάδας (Blue Team Hackers)

Οι Χάκερς της Μπλε Ομάδας (Blue Team Hackers) εργάζονται στο πλαίσιο της ομάδας ασφαλείας ενός οργανισμού για την άμυνα κατά των επιθέσεων και την προστασία των περιουσιακών στοιχείων του οργανισμού. Μπορεί να χρησιμοποιούν τεχνικές χάκινγκ για να εντοπίζουν και να διορθώνουν τρωτά σημεία, να παρακολουθούν τα συστήματα για ύποπτη δραστηριότητα και να ανταποκρίνονται σε περιστατικά ασφαλείας.

Κυνηγοί Ευρημάτων Ασφαλείας (Bug Bounty Hunters)

Οι Κυνηγοί Ευρημάτων Ασφαλείας (Bug Bounty Hunters) είναι άτομα που αναζητούν τρωτά σημεία ασφαλείας σε συστήματα, δίκτυα και εφαρμογές και τα αναφέρουν σε οργανισμούς με αντάλλαγμα μια αμοιβή ή αμοιβή επικήρυξης.

Προσέχεις, μένοντας ενημερωμένος!

Με τη χρηματοδότηση της Ευρωπαϊκής Ένωσης. Οι απόψεις και οι γνώμες που διατυπώνονται εκφράζουν αποκλειστικά τις απόψεις των συντακτών και δεν αντιπροσωπεύουν κατ’ανάγκη τις απόψεις της Ευρωπαϊκής Ένωσης ή του Ευρωπαϊκού Εκτελεστικού Οργανισμού Εκπαίδευσης και Πολιτισμού (EACEA). Η Ευρωπαϊκή Ένωση και ο EACEA δεν μπορούν να θεωρηθούν υπεύθυνοι για τις εκφραζόμενες απόψεις.

Proj.no: 2021-1-SI01-KA220-VET-000033366

© 2024 AWARE | handcrafted and powered with love by p-consulting.gr